VPN-Technologie was. Was ist VPN oder wie Sie Ihr Netzwerk sichern. Was VPN macht

Um zu verstehen, was ein VPN ist, reicht es aus, diese Abkürzung zu entschlüsseln und zu übersetzen. Es wird als „virtuell“ verstanden privates Netzwerk», die separate Computer oder lokale Netzwerke vereint, um die Geheimhaltung und Sicherheit der übertragenen Informationen zu gewährleisten. Bei dieser Technologie wird eine Verbindung zu einem speziellen Server basierend auf dem Netzwerk hergestellt allgemeiner Zugang mittels spezielle Programme... Dadurch erscheint in der bestehenden Verbindung ein Kanal, zuverlässig geschützt durch moderne Verschlüsselungsalgorithmen. Mit anderen Worten, ein VPN ist eine Punkt-zu-Punkt-Verbindung innerhalb oder über ein ungesichertes Netzwerk, bei dem es sich um einen sicheren Tunnel für den Informationsaustausch zwischen Benutzern und einem Server handelt.

Grundlegende VPN-Eigenschaften

Es wäre unvollständig zu verstehen, was ein VPN ist, ohne seine wichtigsten Eigenschaften zu verstehen: Verschlüsselung, Authentifizierung und Zugriffskontrolle. Diese drei Kriterien unterscheiden ein VPN von einem regulären Firmennetzwerk, das auf Basis öffentlicher Verbindungen arbeitet. Die Implementierung dieser Eigenschaften ermöglicht den Schutz der Computer und Unternehmensserver der Benutzer. Informationen, die über materiell unsichere Kanäle gelangen, werden gegenüber externen Faktoren unangreifbar, die Wahrscheinlichkeit ihrer Weitergabe und illegalen Nutzung ist ausgeschlossen.

VPN-Typologie

Nachdem Sie verstanden haben, was ein VPN ist, können Sie seine Unterarten betrachten, die sich nach den verwendeten Protokollen unterscheiden:

1. PPTP ist ein Punkt-zu-Punkt-Tunneling-Protokoll, das einen sicheren Kanal über ein reguläres Netzwerk erstellt. Der Verbindungsaufbau erfolgt über zwei Netzwerksitzungen: Daten werden über PPP über das GRE-Protokoll gesendet, die Verbindung wird über TCP (Port 1723) initiiert und gesteuert. Die Einrichtung in mobilen und einigen anderen Netzwerken kann schwierig sein. Diese Art von VPN ist heute das am wenigsten zuverlässige Netzwerk. Es sollte nicht verwendet werden, wenn mit Daten gearbeitet wird, die nicht in die Hände Dritter gelangen sollen.
2. L2TP - Layer-2-Tunneling. Dieses fortschrittliche Protokoll wurde aus PPTP und L2F entwickelt. Dank IPSec-Verschlüsselung sowie der Kombination von Haupt- und Kontrollkanal in einer einzigen UDP-Sitzung ist es viel sicherer.
3. SSTP ist SSL-basiertes sicheres Socket-Tunneling. Dieses Protokoll erstellt eine zuverlässige Kommunikation über HTTPS. Damit das Protokoll funktioniert, ist ein offener Port 443 erforderlich, der die Kommunikation von jedem Punkt, sogar über den Proxy hinaus, ermöglicht.

VPN-Funktionen

In den vorherigen Abschnitten wurde darüber gesprochen, mit was ein VPN verbunden ist technischer Punkt Vision. Nun sollten Sie diese Technologie mit den Augen der Anwender betrachten und herausfinden, welche konkreten Vorteile sie an sich hat:

1. Sicherheit. Kein Internetnutzer wird es mögen, wenn seine Seite in einem sozialen Netzwerk gehackt oder, noch schlimmer, seine Passwörter von Bankkarten und virtuellen Geldbörsen gestohlen werden. VPN schützt effektiv personenbezogene Daten. Sowohl ausgehende als auch eingehende Informationsströme werden in verschlüsselter Form durch den Tunnel übertragen. Selbst der ISP kann nicht darauf zugreifen. Dieser Punkt ist besonders wichtig für diejenigen, die sich häufig in Internetcafés und anderen Orten mit ungesichertem WLAN mit dem Netzwerk verbinden. Wenn Sie an solchen Orten kein VPN verwenden, sind nicht nur die übertragenen Informationen gefährdet, sondern auch das angeschlossene Gerät.
2. Anonymität. VPN beseitigt die Probleme des Versteckens und Änderns von IP-Adressen, da es den von ihm besuchten Ressourcen nie die echte IP des Benutzers anzeigt. Der gesamte Informationsfluss läuft über einen sicheren Server. Die Verbindung über anonyme Proxys bedeutet keine Verschlüsselung, Benutzeraktivitäten sind für den Anbieter kein Geheimnis und IP kann Eigentum der verwendeten Ressource werden. VPN präsentiert in diesem Fall seine eigene IP als Benutzer.
3. Unbegrenzter Zugang. Viele Seiten sind auf Bundesstaats- oder lokaler Ebene gesperrt: Soziale Netzwerke sind beispielsweise in den Büros großer Unternehmen nicht verfügbar. Aber es ist noch schlimmer, wenn Sie nicht einmal von zu Hause aus auf Ihre Lieblingssite zugreifen können. VPN, das die IP des Benutzers durch seine eigene ersetzt, ändert automatisch seinen Standort und öffnet den Weg zu allen blockierten Sites.

VPN-Anwendungen

VPNs werden am häufigsten verwendet:

1. Anbieter und Systemadministratoren von Unternehmen sorgen für einen sicheren Zugang zum globalen Netzwerk. Außerdem, um innerhalb zu arbeiten work lokales Netzwerk und verschiedene Sicherheitseinstellungen werden verwendet, um die allgemeine Ebene zu erreichen.
2. Administratoren, um den Zugriff auf das private Netzwerk einzuschränken. Dieser Fall ist klassisch. Mit Hilfe von VPN werden Geschäftsbereiche vereint, sowie die Möglichkeit der Fernanbindung von Mitarbeitern.
3. Administratoren, um Netzwerke verschiedener Ebenen zu kombinieren. Normalerweise sind Unternehmensnetzwerke mehrschichtig, und jede nächste Ebene wird mit einem erhöhten Schutz versehen. VPN bietet in diesem Fall mehr Zuverlässigkeit als einfache Aggregation.

Grundnuancen beim Einrichten eines VPN

Benutzer, die bereits wissen, was eine VPN-Verbindung ist, setzen sich oft das Ziel, diese selbst einzurichten. Schritt-für-Schritt-Anleitungen zum Konfigurieren sicherer Netzwerke für verschiedene Betriebssysteme finden Sie überall, aber nicht immer wird eines erwähnt wichtiger Punkt... Bei einer Standard-VPN-Verbindung wird das Hauptgateway für das VPN-Netzwerk angegeben, wodurch das Internet des Benutzers verloren geht oder über ein entferntes Netzwerk verbunden wird. Dies führt zu Unannehmlichkeiten und führt manchmal zu unnötigen Kosten für die Zahlung von doppeltem Verkehr. Um Probleme zu vermeiden, müssen Sie Folgendes tun: Suchen Sie in den Netzwerkeinstellungen die TCP / IPv4-Eigenschaften und im Fenster zusätzliche Einstellungen Deaktivieren Sie das Kontrollkästchen, um die Verwendung eines Master-Gateways in einem Remote-Netzwerk zuzulassen.

Jedes Jahr verbessert sich die elektronische Kommunikation, und an den Informationsaustausch werden immer höhere Anforderungen an Geschwindigkeit, Sicherheit und Qualität der Datenverarbeitung gestellt.

Und hier werden wir uns eine VPN-Verbindung genauer ansehen: Was ist sie, wozu dient ein VPN-Tunnel und wie wird eine VPN-Verbindung verwendet.

Dieses Material ist eine Art einleitendes Wort zu einer Reihe von Artikeln, in denen wir Ihnen erklären, wie Sie ein VPN auf verschiedenen Betriebssystemen erstellen.

VPN-Verbindung, was ist das?

Ein virtuelles privates Netzwerk-VPN ist also eine Technologie, die eine sichere (vom externen Zugriff geschlossene) Verbindung eines logischen Netzwerks über ein privates oder öffentliches Netzwerk bei Vorhandensein von Hochgeschwindigkeits-Internet bereitstellt.

Eine solche Netzwerkverbindung Computer (geografisch weit voneinander entfernt) verwenden eine Punkt-zu-Punkt-Verbindung (also „Computer-zu-Computer“).

Wissenschaftlich wird diese Art der Verbindung als VPN-Tunnel (oder Tunnelprotokoll) bezeichnet. Sie können sich mit einem solchen Tunnel verbinden, wenn Sie einen Computer mit einem beliebigen Betriebssystem mit integriertem VPN-Client haben, der virtuelle Ports über das TCP / IP-Protokoll an ein anderes Netzwerk weiterleiten kann.

Wozu dient VPN?

Der Hauptvorteil von VPN besteht darin, dass die Verhandlungsparteien eine Konnektivitätsplattform benötigen, die nicht nur schnell skaliert, sondern auch (in erster Linie) Datenvertraulichkeit, Datenintegrität und Authentifizierung gewährleistet.

Das Diagramm zeigt deutlich die Verwendung von VPN-Netzwerken.

Zuvor müssen Server und Router Regeln für Verbindungen über einen sicheren Kanal haben.

So funktioniert VPN

Bei einer Verbindung über VPN enthält der Nachrichtenkopf Informationen über die IP-Adresse des VPN-Servers und die Remote-Route.

Gekapselte Daten, die über ein öffentliches oder öffentliches Netzwerk übertragen werden, können nicht abgefangen werden, da alle Informationen verschlüsselt sind.

Die VPN-Verschlüsselungsstufe wird auf Senderseite implementiert und die Daten werden beim Empfänger durch den Nachrichtenkopf entschlüsselt (sofern ein gemeinsamer Verschlüsselungsschlüssel vorhanden ist).

Nach korrekter Entschlüsselung der Nachricht wird zwischen den beiden Netzen eine VPN-Verbindung aufgebaut, die auch das Arbeiten in einem öffentlichen Netz (zB Datenaustausch mit dem Client 93.88.190.5) ermöglicht.

Hinsichtlich Informationssicherheit, dann ist das Internet ein extrem unsicheres Netzwerk, und ein VPN-Netzwerk mit den Protokollen OpenVPN, L2TP / IPSec, PPTP, PPPoE ist ziemlich sicher und auf sichere Weise Datenübertragung.

Wozu dient ein VPN-Kanal?

VPN-Tunneling wird verwendet:

Innerhalb des Unternehmensnetzwerks;

Zur Kombination von Remote-Standorten sowie kleinen Filialen;

Um digitale Telefonie mit einer breiten Palette von Telekommunikationsdiensten zu bedienen;

Um auf externe IT-Ressourcen zuzugreifen;

Für den Aufbau und die Durchführung von Videokonferenzen.

Warum brauchst du VPN?

VPN-Verbindung ist erforderlich für:

Anonymes Arbeiten im Internet;

Herunterladen von Anwendungen, falls sich die IP-Adresse in einer anderen regionalen Zone des Landes befindet;

Sicheres Arbeiten im Unternehmensumfeld durch Kommunikation;

Einfachheit und Bequemlichkeit der Verbindungseinstellungen;

Sicherheit schnelle Geschwindigkeit Verbindungen ohne Unterbrechungen;

Schaffung eines sicheren Kanals ohne Hackerangriffe.

Wie benutzt man VPN?

Es gibt endlose Beispiele dafür, wie VPN funktioniert. So können Sie auf jedem Computer im Unternehmensnetzwerk beim Herstellen einer sicheren VPN-Verbindung E-Mail verwenden, um Nachrichten zu überprüfen, Materialien von überall im Land zu veröffentlichen oder Dateien von Torrent-Netzwerken herunterzuladen.

VPN: Was ist das in einem Telefon?

Der Zugriff über VPN auf Ihrem Telefon (iPhone oder ein anderes Android-Gerät) ermöglicht es Ihnen, bei der Nutzung des Internets an öffentlichen Orten anonym zu bleiben und das Abfangen des Datenverkehrs und das Hacken von Geräten zu verhindern.

Ein auf einem beliebigen Betriebssystem installierter VPN-Client ermöglicht es Ihnen, viele Einstellungen und Regeln des Anbieters zu umgehen (sofern der Anbieter Einschränkungen festgelegt hat).

Welches VPN für das Telefon wählen?

Android-Mobiltelefone und -Smartphones können Anwendungen von Google Playmarket verwenden:

• - vpnRoot, droidVPN,
• - Tor-Browser zum Surfen in Netzwerken, auch bekannt als Orbot
• - InBrowser, orfox (firefox + tor),
• - SuperVPN Kostenloser VPN-Client
• - OpenVPN-Verbindung
• - TunnelBear-VPN
• - Hideman-VPN

Die meisten dieser Programme werden für die Bequemlichkeit der "heißen" Systemkonfiguration, der Platzierung von Startverknüpfungen, des anonymen Surfens im Internet und der Auswahl der Art der Verbindungsverschlüsselung verwendet.

Die Hauptaufgabe bei der Verwendung eines VPN auf Ihrem Telefon besteht jedoch darin, zu überprüfen Firmenpost, Erstellen von Videokonferenzen mit mehreren Teilnehmern sowie Abhalten von Besprechungen außerhalb der Organisation (z. B. wenn ein Mitarbeiter auf Geschäftsreise ist).

Was ist VPN im iPhone?

Lassen Sie uns genauer überlegen, welches VPN wir wählen und wie Sie es mit einem iPhone verbinden.

Je nach unterstütztem Netzwerktyp können Sie beim ersten Start der VPN-Konfiguration im iPhone die folgenden Protokolle auswählen: L2TP, PPTP und Cisco IPSec (zusätzlich können Sie eine VPN-Verbindung mit Anwendungen von Drittanbietern "herstellen") .

Alle diese Protokolle unterstützen Verschlüsselungsschlüssel, Kennwortauthentifizierung und Zertifizierung.

Zusätzliche Funktionen beim Einrichten eines VPN-Profils auf einem iPhone umfassen: RSA-Sicherheit, Verschlüsselungsstufe und Autorisierungsregeln für die Verbindung mit dem Server.

Für Telefon iPhone aus dem Appstore sollten Sie wählen:

• - kostenlose App Tunnelbear, mit dem Sie sich mit Servern verbinden können VPN beliebig Länder.
• - OpenVPN Connect ist einer der besten VPN-Clients auf dem Markt. Hier müssen Sie zum Ausführen der Anwendung zunächst die RSA-Schlüssel über iTunes in Ihr Telefon importieren.
• - Cloak ist eine Shareware-Anwendung, da das Produkt für einige Zeit kostenlos "benutzt" werden kann, aber um das Programm nach Ablauf der Demo-Phase zu verwenden, müssen Sie es kaufen.

VPN-Erstellung: Geräte auswählen und konfigurieren

Für die Unternehmenskommunikation in großen Organisationen oder Büroverbänden, die voneinander entfernt sind, wird Hardware verwendet, die einen unterbrechungsfreien, sicheren Netzwerkbetrieb unterstützt.

Zur Implementierung von VPN-Technologien können als Netzwerk-Gateway dienen: Unix-Server, Windows-Server, ein Netzwerk-Router und ein Netzwerk-Gateway, auf dem das VPN installiert ist.

Ein Server oder Gerät, das zum Erstellen eines Unternehmens-VPN-Netzwerks oder eines VPN-Kanals zwischen Remote-Standorten verwendet wird, muss komplexe technische Aufgaben ausführen und den Benutzern sowohl auf Workstations als auch auf mobilen Geräten eine vollständige Palette von Diensten bereitstellen.

Jeder Router oder VPN-Router sollte einen zuverlässigen Netzwerkbetrieb ohne Einfrieren bieten. Und die integrierte VPN-Funktion ermöglicht es Ihnen, die Netzwerkkonfiguration für die Arbeit zu Hause, in einer Organisation oder einem Remote-Büro zu ändern.

VPN auf einem Router konfigurieren

Im Allgemeinen erfolgt die VPN-Konfiguration am Router über das Webinterface des Routers. Auf "klassischen" Geräten zum Organisieren von VPN müssen Sie zum Abschnitt "Einstellungen" oder "Netzwerkeinstellungen" gehen, wo Sie den Abschnitt VPN auswählen, den Protokolltyp angeben, die Einstellungen für Ihre Subnetzadresse eingeben, maskieren und die specify Reihe von IP-Adressen für Benutzer.

Um die Verbindung zu sichern, müssen Sie außerdem Verschlüsselungsalgorithmen und Authentifizierungsmethoden angeben, Verhandlungsschlüssel generieren und DNS-WINS-Server angeben. In den Parametern "Gateway" müssen Sie die Gateway-IP-Adresse (Ihre IP) angeben und die Daten auf allen Netzwerkadaptern eingeben.

Bei mehreren Routern im Netzwerk ist es notwendig, die VPN-Routing-Tabelle für alle Geräte im VPN-Tunnel auszufüllen.

Hier ist eine Liste der Hardware, die zum Aufbau von VPN-Netzwerken verwendet wird:

Dlink-Router: DIR-320, DIR-620, DSR-1000 mit neuer Firmware oder D-Link-Router DI808HV.

Cisco PIX 501, Cisco 871-SEC-K9-Router

Linksys Rv082 Router mit Unterstützung für 50 VPN-Tunnel

Netgear DG834G Router und FVS318G, FVS318N, FVS336G, SRX5308 Router

Mikrotik-Router mit OpenVPN-Funktion. RouterBoard RB / 2011L-IN Mikrotik-Beispiel

VPN-Ausrüstung RVPN S-Terra oder VPN Gate

ASUS Router RT-N66U, RT-N16 und RT N-10

ZyXel-Router ZyWALL 5, ZyWALL P1, ZyWALL USG

In letzter Zeit hat es in der Welt der Telekommunikation ein erhöhtes Interesse an virtuellen privaten Netzwerken (VPNs) gegeben. Dies ist auf die Notwendigkeit zurückzuführen, die Kosten für die Wartung von Unternehmensnetzwerken aufgrund der kostengünstigeren Anbindung von Remote-Standorten und Remote-Benutzern über Internet Netzwerk... Wenn Sie die Kosten für die Verbindung mehrerer Netzwerke über das Internet, beispielsweise mit Frame Relay-Netzwerken, vergleichen, können Sie einen erheblichen Kostenunterschied feststellen. Es ist jedoch zu beachten, dass sich bei der Verbindung von Netzwerken über das Internet sofort die Frage nach der Sicherheit der Datenübertragung stellt. Daher mussten Mechanismen geschaffen werden, um die Vertraulichkeit und Integrität der übertragenen Informationen zu gewährleisten. Die auf der Grundlage solcher Mechanismen aufgebauten Netzwerke werden als VPN bezeichnet.

Auch sehr oft moderner Mann Wenn Sie Ihr Geschäft aufbauen, müssen Sie viel reisen. Das können Reisen in entlegene Ecken unseres Landes oder ins Ausland sein. Häufig benötigen Menschen Zugriff auf ihre Informationen, die auf ihrem Heimcomputer oder auf einem Firmencomputer gespeichert sind. Dieses Problem kann gelöst werden, indem der Fernzugriff über ein Modem und eine Leitung organisiert wird. Die Nutzung einer Telefonleitung hat ihre eigenen Besonderheiten. Der Nachteil dieser Lösung ist, dass ein Anruf aus einem anderen Land viel Geld kostet. Es gibt auch eine andere Lösung namens VPN. Die Vorteile der VPN-Technologie bestehen darin, dass die Organisation des Fernzugriffs nicht über eine Telefonleitung erfolgt, sondern über das Internet, was viel billiger und besser ist. Meiner Meinung nach Technik. VPN hat die Aussicht auf eine breite Akzeptanz auf der ganzen Welt.

1. Konzept und Klassifizierung von VPN-Netzen, ihr Aufbau

1.1 Was ist VPN?

VPN(Englisch Virtual Private Network - virtuelles privates Netzwerk) - ein logisches Netzwerk, das auf einem anderen Netzwerk wie dem Internet erstellt wird. Trotz der Tatsache, dass die Kommunikation über öffentliche Netze mit unsicheren Protokollen erfolgt, schafft die Verschlüsselung Kanäle des Informationsaustauschs, die für Außenstehende verschlossen sind. VPN ermöglicht es Ihnen, zum Beispiel mehrere Büros einer Organisation zu vereinen einzelnes Netzwerk unkontrollierte Kanäle für die Kommunikation zwischen ihnen verwenden.

Ein VPN hat im Kern viele Eigenschaften einer Standleitung, wird aber beispielsweise in einem öffentlichen Netzwerk eingesetzt. Bei der Tunneling-Technik werden Datenpakete wie über eine normale Punkt-zu-Punkt-Verbindung über das öffentliche Netz rundgesendet. Zwischen jedem Paar von "Datensender-Empfänger" wird eine Art Tunnel aufgebaut - eine sichere logische Verbindung, die es Ihnen ermöglicht, die Daten eines Protokolls in Pakete eines anderen zu kapseln. Die Hauptkomponenten des Tunnels sind:

• Initiator;
• geroutetes Netzwerk;
• Tunnelschalter;
• einen oder mehrere Tunnelterminatoren.

VPN selbst steht nicht in Konflikt mit wichtigen Netzwerktechnologien und -protokollen. Zum Beispiel sendet der Client beim Aufbau einer DFÜ-Verbindung einen Stream von Standardpaketen an den Server PPP-Protokoll... Bei der Organisation virtueller Standleitungen zwischen lokalen Netzen tauschen deren Router auch PPP-Pakete aus. Grundsätzlich neu ist jedoch die Weiterleitung von Paketen durch einen sicheren Tunnel, der innerhalb des öffentlichen Netzes organisiert ist.

Tunneling ermöglicht es Ihnen, die Übertragung von Paketen von einem zu organisieren Protokoll in einer logischen Umgebung mit einem anderen Protokoll. Als Ergebnis wird es möglich, die Probleme der Interaktion mehrerer unterschiedlicher Arten von Netzwerken zu lösen, beginnend mit der Notwendigkeit, die Integrität und Vertraulichkeit der übertragenen Daten zu gewährleisten, und endend mit der Überwindung von Inkonsistenzen in externen Protokollen oder Adressierungsschemata.

Die bestehende Netzwerkinfrastruktur Unternehmen können darauf vorbereitet sein, ein VPN entweder mit Software oder Hardware zu verwenden. Der Aufbau eines VPN kann mit der Verkabelung über ein WAN verglichen werden. Normalerweise wird eine direkte Verbindung zwischen dem entfernten Benutzer und dem Endpunkt des Tunnels über PPP hergestellt.

Die gebräuchlichste Methode zum Erstellen von VPN-Tunneln besteht darin, Netzwerkprotokolle (IP, IPX, AppleTalk usw.) in PPP zu kapseln und dann die resultierenden Pakete in einem Tunneling-Protokoll zu kapseln. Letzteres ist in der Regel IP oder (viel seltener) ATM und Frame Relay. Dieser Ansatz wird Layer 2 Tunneling genannt, da der „Passagier“ hier das Layer 2 Protokoll ist.

Ein alternativer Ansatz zum Einkapseln von Netzwerkprotokollpaketen direkt in ein Tunneling-Protokoll (wie VTP) wird als Layer-3-Tunneling bezeichnet.

Egal welche Protokolle verwendet werden oder zu welchen Zwecken werden beim Organisieren eines Tunnels verfolgt, die Grundtechnik bleibt bestehenpraktisch unverändert. Typischerweise wird ein Protokoll verwendet, um eine Verbindung mit einem entfernten Standort herzustellen, und das andere wird verwendet, um Daten und Dienstinformationen für die Übertragung durch den Tunnel zu kapseln.

1.2 Klassifizierung von VPN-Netzwerken

VPN-Lösungen können nach mehreren Hauptparametern klassifiziert werden:

1. Nach der Art der verwendeten Umgebung:

• Sichere VPN-Netzwerke. Die gebräuchlichste Variante privater privater Netzwerke. Mit seiner Hilfe ist es möglich, ein zuverlässiges und sicheres Subnetz basierend auf einem unzuverlässigen Netzwerk, normalerweise dem Internet, aufzubauen. Beispiele für sichere VPNs sind: IPSec, OpenVPN und PPTP.
• Vertrauenswürdige VPN-Netzwerke. Sie werden in Fällen verwendet, in denen das Übertragungsmedium als zuverlässig angesehen werden kann und nur das Problem der Schaffung eines virtuellen Subnetzes innerhalb vonnet gelöst werden muss größeres Netzwerk... Sicherheitsfragen werden irrelevant. Beispiele für solche VPN-Lösungen sind: MPLS und L2TP. Richtig wäre zu sagen, dass diese Protokolle die Aufgabe der Sicherstellung der Sicherheit auf andere verlagern, beispielsweise wird L2TP in der Regel in Verbindung mit IPSec eingesetzt.

2. Zur Umsetzung:

• VPN-Netzwerke in Form spezieller Soft- und Hardware. Das VPN-Netzwerk wird mit einer speziellen Software und Hardware implementiert. Diese Implementierung bietet eine hohe Performance und in der Regel ein hohes Maß an Sicherheit.
• VPN-Netzwerke als Softwarelösung. Verwenden Sie einen PC mit spezieller Software, um die VPN-Funktionalität bereitzustellen.
• VPN-Netzwerke mit integrierter Lösung. Die VPN-Funktionalität bietet einen Komplex, der auch die Probleme der Filterung des Netzwerkverkehrs, der Organisation einer Firewall und der Gewährleistung der Servicequalität löst.

3. Nach Vereinbarung:

• Intranet-VPN. Sie werden verwendet, um mehrere verteilte Niederlassungen einer Organisation zu einem einzigen sicheren Netzwerk zu vereinen und Daten über offene Kanäle Kommunikation.
• Remote-Zugriff-VPN. Sie werden verwendet, um einen sicheren Kanal zwischen einem Segment eines Unternehmensnetzwerks (Zentrale oder Zweigstelle) und einem einzelnen Benutzer zu schaffen, der während der Arbeit von zu Hause aus eine Verbindung zu Unternehmensressourcen von einem Heimcomputer oder während einer Geschäftsreise herstellt Unternehmensressourcen mit einem Laptop.
• Extranet-VPN. Wird für Netzwerke verwendet, mit denen sich "externe" Benutzer (z. B. Kunden oder Clients) verbinden. Das Vertrauen in sie ist viel geringer als in die Mitarbeiter des Unternehmens, daher ist es notwendig, besondere "Schutzlinien" vorzusehen, die den Zugang zu besonders wertvollen, vertraulichen Informationen verhindern oder einschränken.

4. Nach Protokolltyp:

• Es gibt Implementierungen von virtuellen privaten Netzwerken für TCP/IP, IPX und AppleTalk. Heute gibt es jedoch eine Tendenz zu einem allgemeinen Übergang zum TCP / IP-Protokoll und die überwiegende Mehrheit der VPN-Lösungen unterstützt dies.

5. Nach der Ebene des Netzwerkprotokolls:

• Nach Netzwerkprotokollschicht basierend auf Vergleich mit Referenzebenen Netzwerkmodell ISO/OSI.

1.3. Ein VPN aufbauen

Es gibt verschiedene Möglichkeiten, ein VPN aufzubauen. Bei der Auswahl einer Lösung müssen Sie die Leistungsfaktoren Ihres VPN-Builders berücksichtigen. Wenn beispielsweise ein Router bereits mit maximaler Kapazität läuft, kann das Hinzufügen von VPN-Tunneln und das Anwenden der Verschlüsselung / Entschlüsselung von Informationen den Betrieb des gesamten Netzwerks stoppen, da dieser Router einfachen Datenverkehr nicht bewältigen kann. geschweige denn VPN. Die Erfahrung zeigt, dass es am besten ist, ein VPN mit speziellem Equipment aufzubauen, aber wenn die Mittel begrenzt sind, können Sie auf eine reine Softwarelösung achten. Betrachten wir einige Optionen für den Aufbau eines VPN.

• VPN basierend auf Firewalls. Die Firewalls der meisten Anbieter unterstützen Tunneling und Datenverschlüsselung. Alle diese Produkte basieren auf der Tatsache, dass der die Firewall passierende Verkehr verschlüsselt ist. Der eigentlichen Firewall-Software wird ein Verschlüsselungsmodul hinzugefügt. Der Nachteil dieser Methode besteht darin, dass die Leistung von der Hardware abhängt, auf der die Firewall ausgeführt wird. Beachten Sie bei der Verwendung von PC-basierten Firewalls, dass diese Lösung nur für kleine Netzwerke mit wenig Verkehr eingesetzt werden kann.
• VPN basierend auf Routern. Eine andere Möglichkeit, ein VPN aufzubauen, besteht darin, Router zu verwenden, um sichere Kanäle zu erstellen. Da alle vom lokalen Netzwerk ausgehenden Informationen über den Router laufen, empfiehlt es sich, diesem Router Verschlüsselungsaufgaben zuzuweisen.Ein Beispiel für Geräte zum Aufbau von VPN auf Routern sind Geräte von Cisco Systems. Ab der IOS-Softwareversion 11.3 unterstützen Cisco-Router L2TP und IPSec. Neben der einfachen Verschlüsselung der übertragenen Informationen unterstützt Cisco auch weitere VPN-Funktionen wie die Authentifizierung beim Aufbau einer Tunnelverbindung und den Schlüsselaustausch.Ein optionales ESA-Verschlüsselungsmodul kann verwendet werden, um die Routerleistung zu verbessern. Darüber hinaus hat Cisco System eine dedizierte VPN-Appliance namens Cisco 1720 VPN Access Router für kleine und mittlere Unternehmen und große Zweigstellen herausgebracht.
• VPN-Software basiert. Der nächste Ansatz zum Aufbau eines VPN sind reine Softwarelösungen. Bei der Implementierung einer solchen Lösung wird spezialisierte Software verwendet, die auf einem dedizierten Computer läuft und in den meisten Fällen als Proxy-Server fungiert. Ein Computer mit einer solchen Software kann sich hinter einer Firewall befinden.
• VPN basierend auf Netzwerkbetriebssystem.Wir betrachten Lösungen auf Basis eines Netzwerkbetriebssystems am Beispiel des Windows-Betriebssystems von Microsoft. Um ein VPN zu erstellen, verwendet Microsoft PPTP, das in das Windows-System integriert ist. Diese Lösung ist sehr attraktiv für Unternehmen, die Windows als Unternehmensbetriebssystem verwenden. Es sollte beachtet werden, dass die Kosten einer solchen Lösung deutlich niedriger sind als die Kosten anderer Lösungen. Ein Windows-basiertes VPN verwendet eine Benutzerbasis, die auf dem Primary Domain Controller (PDC) gespeichert ist. Beim Herstellen einer Verbindung mit einem PPTP-Server wird der Benutzer mit PAP, CHAP oder MS-CHAP authentifiziert. Die übertragenen Pakete werden in GRE / PPTP-Pakete gekapselt. Zum Verschlüsseln von Paketen wird ein nicht standardmäßiges Microsoft Point-to-Point-Verschlüsselungsprotokoll mit einem 40- oder 128-Bit-Schlüssel verwendet, der zum Zeitpunkt des Verbindungsaufbaus erhalten wird. Die Nachteile dieses Systems sind die fehlende Datenintegritätsprüfung und die Unmöglichkeit, die Schlüssel während der Verbindung zu ändern. Positiv sind die einfache Integration mit Windows und die geringen Kosten.
• VPN basierend auf Hardware. Die Möglichkeit, VPN auf speziellen Geräten aufzubauen, kann in Netzwerken genutzt werden, die eine hohe Leistung erfordern. Ein Beispiel für eine solche Lösung ist das Produkt IPro-VPN von Radguard. Dieses Produkt verwendet eine Hardwareverschlüsselung der übertragenen Informationen, die einen Stream von 100 Mbit/s übertragen kann. IPro-VPN unterstützt das IPSec-Protokoll und den ISAKMP / Oakley-Schlüsselverwaltungsmechanismus. Dieses Gerät unterstützt unter anderem die Übersetzung von Netzwerkadressen und kann mit einer speziellen Karte ergänzt werden, die Firewall-Funktionen hinzufügt

2. VPN-Protokolle

VPNs werden unter Verwendung von Protokollen zum Tunneln von Daten über das öffentliche Internet erstellt, wobei die Tunneling-Protokolle Daten verschlüsseln und zwischen Benutzern Ende-zu-Ende übertragen. In der Regel heute zu bauen VPN-Netzwerke Protokolle der folgenden Ebenen werden verwendet:

• Verbindungsschicht
• Netzwerkschicht
• Transportschicht.

2.1 Verbindungsschicht

Auf der Sicherungsschicht können die Datentunnelprotokolle L2TP und PPTP verwendet werden, die Autorisierung und Authentifizierung verwenden.

PPTP.

Derzeit ist das gängigste VPN-Protokoll das Point-to-Point-Tunneling-Protokoll - PPTP. Es wurde von 3Com und Microsoft entwickelt, um einen sicheren Remote-Zugriff auf Unternehmensnetzwerke über das Internet bereitzustellen. PPTP nutzt vorhandene offene TCP/IP-Standards und stützt sich stark auf das ältere PPP-Punkt-zu-Punkt-Protokoll. In der Praxis bleibt PPP das Kommunikationsprotokoll der PPTP-Verbindungssitzung. PPTP erstellt einen Tunnel durch das Netzwerk zum NT-Server des Empfängers und überträgt dadurch PPP-Pakete des entfernten Benutzers. Server und Arbeitsplatz Verwenden Sie ein VPN und achten Sie nicht darauf, wie sicher oder zugänglich das WAN zwischen ihnen ist. Die serverinitiierte Beendigung einer Verbindungssitzung ermöglicht es lokalen Netzwerkadministratoren im Gegensatz zu spezialisierten RAS-Servern, Remotebenutzer vom Sicherheitssystem von Windows Server fernzuhalten.

Obwohl sich die Kompetenz des PPTP-Protokolls nur auf Geräte erstreckt, die unter Windows-Steuerung, bietet es Unternehmen die Möglichkeit, mit bestehenden Netzwerkinfrastrukturen zu interagieren, ohne ihre eigenen Sicherheitssysteme zu gefährden. Auf diese Weise kann sich ein entfernter Benutzer mit einem lokalen ISP über eine analoge Telefonleitung oder ISDN mit dem Internet verbinden und eine Verbindung zum NT-Server herstellen. Gleichzeitig muss das Unternehmen keine großen Summen für die Organisation und Wartung eines Pools von Modems aufwenden, die Fernzugriffsdienste bereitstellen.

Weiterhin wird die Arbeit des RRTP berücksichtigt. PPTP kapselt IP-Pakete zur Übertragung über ein IP-Netzwerk. PPTP-Clients verwenden den Zielport, um eine Tunnelsteuerverbindung aufzubauen. Dieser Prozess findet auf der Transportschicht des OSI-Modells statt. Nachdem der Tunnel erstellt wurde, beginnen der Clientcomputer und der Server mit dem Austausch von Dienstpaketen. Zusätzlich zur PPTP-Kontrollverbindung, um die Verbindung am Leben zu erhalten, wird eine Datentunnel-Weiterleitungsverbindung erstellt. Die Einkapselung von Daten vor dem Senden durch den Tunnel unterscheidet sich geringfügig von der normalen Übertragung. Das Einkapseln von Daten vor dem Senden in den Tunnel umfasst zwei Schritte:

1. Zuerst wird der PPP-Informationsteil erstellt. Der Datenfluss erfolgt von oben nach unten, von der OSI-Anwendungsschicht zur Sicherungsschicht.
2. Die empfangenen Daten werden dann über das OSI-Modell gesendet und durch Protokolle der oberen Schicht eingekapselt.

Somit erreichen die Daten während des zweiten Durchgangs die Transportschicht. Die Informationen können jedoch nicht an ihr Ziel gesendet werden, da hierfür die OSI-Sicherungsschicht verantwortlich ist. Daher verschlüsselt PPTP das Nutzlastfeld des Pakets und übernimmt die Funktionen der zweiten Schicht, die normalerweise PPP gehören, d.h. fügt einen PPP-Header und ein Trailing zum PPTP-Paket hinzu. Damit ist die Erstellung des Link-Layer-Frames abgeschlossen.

Als nächstes kapselt PPTP den PPP-Rahmen in ein Generic Routing Encapsulation (GRE)-Paket, das zur Netzwerkschicht gehört. GRE kapselt Protokolle der Netzwerkschicht wie IPX, AppleTalk, DECnet, damit sie über IP-Netzwerke transportiert werden können. GRE ist jedoch nicht in der Lage, Sitzungen einzurichten und Daten vor Eindringlingen zu schützen. Es nutzt die Fähigkeit von PPTP, eine Tunnelverwaltungsverbindung zu erstellen. Der Einsatz von GRE als Kapselungsmethode schränkt den PPTP-Aktionsbereich nur auf IP-Netze ein.

Nachdem der PPP-Frame in einen GRE-Header-Frame gekapselt wurde, wird er in einen IP-Header-Frame gekapselt. Der IP-Header enthält die Adressen des Absenders und des Empfängers des Pakets. Schließlich fügt PPTP einen PPP-Header und eine Endung hinzu.

Das Sendersystem sendet Daten durch den Tunnel. Das empfangende System entfernt alle Overhead-Header und hinterlässt nur PPP-Daten.

L2TP

In naher Zukunft wird eine Zunahme der Anzahl der eingesetzten VPNs auf Basis des neuen Layer-2-Tunneling-Protokolls (L2TP) erwartet.

L2TP entstand aus der Kombination der Protokolle PPTP und L2F (Layer 2 Forwarding). PPTP ermöglicht das Tunneln von PPP-Paketen und L2F-Paketen SLIP und PPP. Um Verwirrung und Interoperabilitätsprobleme auf dem Telekommunikationsmarkt zu vermeiden, empfahl die Internet Engineering Task Force (IETF) Cisco Systems, PPTP und L2F zusammenzuführen. Bei allen Konten hat L2TP die besten Funktionen von PPTP und L2F integriert. Der Hauptvorteil von L2TP besteht darin, dass Sie mit diesem Protokoll nicht nur in IP-Netzwerken einen Tunnel erstellen können, sondern auch in Netzwerken wie ATM, X.25 und Frame Relay. Leider unterstützt die Windows 2000 L2TP-Implementierung nur IP.

L2TP verwendet UDP als Transportmittel und verwendet dasselbe Nachrichtenformat sowohl für das Tunnelmanagement als auch für die Datenübertragung. L2TP in der Implementierung von Microsoft verwendet UDP-Pakete, die verschlüsselte PPP-Pakete als Kontrollnachrichten enthalten. Die Lieferzuverlässigkeit wird durch die Kontrolle der Paketfolge gewährleistet.

Die Funktionalität von PPTP und L2TP ist unterschiedlich. L2TP kann nicht nur in IP-Netzwerken verwendet werden, Dienstnachrichten verwenden das gleiche Format und die gleichen Protokolle, um einen Tunnel zu erstellen und Daten darüber zu senden. PPTP kann nur in IP-Netzwerken verwendet werden und benötigt eine separate TCP-Verbindung, um den Tunnel zu erstellen und zu verwenden. L2TP über IPSec bietet mehr Sicherheitsebenen als PPTP und kann eine nahezu 100-prozentige Sicherheit geschäftskritischer Daten garantieren. Die Funktionen von L2TP machen es zu einem sehr vielversprechenden Protokoll für den Aufbau virtueller Netzwerke.

L2TP und PPTP unterscheiden sich in vielerlei Hinsicht von Layer-3-Tunneling-Protokollen:

1. Bietet Unternehmen die Möglichkeit, unabhängig zu wählen, wie Benutzer authentifiziert und ihre Anmeldeinformationen überprüft werden - auf ihrem eigenen "Gebiet" oder bei einem Internetdienstanbieter Durch die Verarbeitung getunnelter PPP-Pakete erhalten die Server im Unternehmensnetzwerk alle Informationen, die sie zur Identifizierung von Benutzern benötigen.
2. Tunnel-Switching-Unterstützung - Beenden eines Tunnels und Initiieren eines anderen zu einem von vielen potenziellen Terminatoren. Tunnel Switching ermöglicht es, die PPP-Verbindung sozusagen auf den gewünschten Endpunkt zu verlängern.
3. Bereitstellung Systemadministratoren Unternehmensnetzwerk die Möglichkeit, Strategien zur Vergabe von Zugriffsrechten an Benutzer direkt auf der Firewall und internen Servern zu implementieren. Da Tunnelterminatoren PPP-Pakete mit Benutzerinformationen empfangen, können sie von Administratoren formulierte Sicherheitsrichtlinien auf den einzelnen Benutzerverkehr anwenden. (Layer-3-Tunneling unterscheidet nicht zwischen Paketen, die vom Provider kommen, daher müssen Sicherheitsrichtlinienfilter an Endarbeitsplätzen und Netzwerkgeräten angewendet werden.) Außerdem wird es im Fall der Verwendung eines Tunnelswitches möglich, die "Fortsetzung" "des Tunnels die zweite Ebene für die direkte Übertragung des PersonenverkehrsBenutzer an die entsprechenden internen Server. Diese Server können mit zusätzlicher Paketfilterung beauftragt werden.

MPLS

Auch auf der Sicherungsschicht, für die Organisation von Tunneln, wird die MPLS-Technologie ( Aus dem Englischen Multiprotocol Label Switching – Multiprotocol Label Switching – ein Datenübertragungsmechanismus, der verschiedene Eigenschaften von leitungsvermittelten Netzen über paketvermittelte Netze emuliert). MPLS arbeitet auf einer Schicht, die sich zwischen der Verbindungsschicht und der dritten Netzwerkschicht des OSI-Modells befinden könnte, und wird daher allgemein als Verbezeichnet. Es wurde entwickelt, um einen universellen Datendienst sowohl für leitungsvermittelte als auch für paketvermittelte Clients bereitzustellen. MPLS kann eine Vielzahl von Datenverkehr übertragen, wie beispielsweise IP-Pakete, ATM, SONET und Ethernet-Frames.

VPN-Lösungen auf Link-Ebene haben einen recht begrenzten Umfang, meist innerhalb der Domäne des Anbieters.

2.2 Netzwerkschicht

Netzwerkschicht (IP-Schicht). Es wird das IPSec-Protokoll verwendet, das die Verschlüsselung und Vertraulichkeit von Daten sowie die Teilnehmerauthentifizierung implementiert. Die Verwendung des IPSec-Protokolls ermöglicht einen Zugriff mit vollem Funktionsumfang, der einer physischen Verbindung zum Unternehmensnetzwerk entspricht. Um ein VPN aufzubauen, muss jeder Teilnehmer bestimmte IPSec-Parameter konfigurieren, d.h. jeder Client muss über Software verfügen, die IPSec implementiert.

IPSec

Natürlich möchte kein Unternehmen offen wechseln Finanzielle oder andere vertrauliche Informationen aus dem Internet. VPN-Kanäle werden durch leistungsstarke Verschlüsselungsalgorithmen geschützt, die in die IPsec-Sicherheitsprotokollstandards eingebettet sind. IPSec oder Internet Protocol Security - der von der internationalen Gemeinschaft gewählte Standard, die IETF-Gruppe - Internet Engineering Task Force, schafft die Grundlage für die Sicherheit des Internetprotokolls (IP / IPSec-Protokoll bietet Schutz auf der Netzwerkschicht und erfordert die Unterstützung des IPSec-Standards nur von kommunizierenden Geräten auf beiden Alle anderen Geräte dazwischen stellen lediglich IP-Paketverkehr bereit.

Die Methode der Interaktion zwischen Personen, die die IPSec-Technologie verwenden, wird normalerweise durch den Begriff "sichere Assoziation" - Security Association (SA) - definiert. Eine sichere Assoziation funktioniert auf der Grundlage einer Vereinbarung zwischen den Parteien, die IPSec verwenden, um gegenseitig übertragene Informationen zu schützen. Diese Vereinbarung regelt mehrere Parameter: Absender- und Empfänger-IP-Adressen, kryptografischer Algorithmus, Schlüsselaustauschreihenfolge, Schlüsselgrößen, Schlüssellebensdauer, Authentifizierungsalgorithmus.

IPSec ist ein konsistenter Satz offener Standards mit einem Kern, der leicht um neue Funktionen und Protokolle erweitert werden kann. Der Kern von IPSec besteht aus drei Protokollen:

· EIN oder Authentication Header – der Authentication Header – garantiert die Integrität und Authentizität der Daten. Der Hauptzweck des NA-Protokolls besteht darin, dass die empfangende Seite Folgendes sicherstellen kann:

• das Paket wurde von einer Partei gesendet, mit der eine sichere Verbindung hergestellt wurde;
• der Inhalt des Pakets wurde während der Übertragung über das Netzwerk nicht beschädigt;
• das Paket ist kein Duplikat des bereits erhaltenen Pakets.

Die ersten beiden Funktionen sind für das AH-Protokoll obligatorisch, die letzte ist beim Aufbau einer Assoziation optional. Das AN-Protokoll verwendet einen speziellen Header, um diese Funktionen auszuführen. Seine Struktur wird wie folgt betrachtet:

1. Das nächste Header-Feld zeigt den Code des Protokolls der höheren Schicht an, dh des Protokolls, dessen Nachricht im Datenfeld des IP-Pakets platziert wird.
2. Das Feld Nutzlastlänge enthält die Länge des AH-Headers.
3. Der Sicherheitsparameterindex (SPI) wird verwendet, um ein Paket seiner sicheren Assoziation zuzuordnen.
4. Das Feld Sequenznummer (SN) gibt die Sequenznummer des Pakets an und wird verwendet, um vor falscher Wiedergabe zu schützen (wenn ein Dritter versucht, erfasste sichere Pakete wiederzuverwenden, die von einem wirklich authentifizierten Absender gesendet wurden).
5. Das Authentifizierungsdatenfeld, das den sogenannten Integrity Check Value (ICV) enthält, dient der Authentifizierung und Überprüfung der Integrität des Pakets. Dieser Wert, auch Digest genannt, wird unter Verwendung einer von zwei rechnerisch irreversiblen Funktionen MD5 oder SAH-1 berechnet, die vom AH-Protokoll benötigt werden, es kann jedoch jede andere Funktion verwendet werden.

· ESP oder Encapsulating Security Payload- Einkapselung verschlüsselter Daten - verschlüsselt übertragene Daten, gewährleistet Vertraulichkeit, kann auch Authentifizierung und Datenintegrität unterstützen;

Das ESP-Protokoll löst zwei Problemgruppen.

1. Das erste umfasst ähnliche Aufgaben wie das AN-Protokoll - es soll die Authentifizierung und Datenintegrität basierend auf dem Digest sicherstellen,
2. Die zweite - die übertragenen Daten, indem sie vor unbefugter Einsichtnahme verschlüsselt werden.

Der Header ist in zwei Teile unterteilt, die durch ein Datenfeld getrennt sind.

1. Der erste Teil, der als ESP-Header selbst bezeichnet wird, besteht aus zwei Feldern (SPI und SN), deren Zweck ähnlich den gleichnamigen Feldern im AH-Protokoll ist, und wird vor dem Datenfeld platziert.
2. Die restlichen Servicefelder des ESP-Protokolls, ESP-Trailer genannt, befinden sich am Ende des Pakets.

Die beiden Trailer-Felder – der nächste Header und die Authentifizierungsdaten – ähneln den AH-Header-Feldern. Das Feld Authentifizierungsdaten ist nicht vorhanden, wenn die Sicherheitszuordnung so eingerichtet ist, dass die Integritätsfunktionen von ESP nicht verwendet werden. Neben diesen Feldern enthält der Trailer zwei weitere Felder - den Platzhalter und die Länge des Platzhalters.

Die Protokolle AH und ESP können Daten in zwei Modi schützen:

1. im Transport - Übertragung erfolgt mit Original-IP-Headern;
2. im Tunnel - das ursprüngliche Paket wird in ein neues IP-Paket gelegt und die Übertragung mit neuen Headern durchgeführt.

Die Anwendung dieses oder jenes Modus hängt von den Anforderungen an den Datenschutz sowie von der Rolle ab, die der Knoten, der den sicheren Kanal terminiert, im Netzwerk spielt. Ein Knoten kann beispielsweise ein Host (Endknoten) oder ein Gateway (Zwischenknoten) sein.

Dementsprechend gibt es drei Schemata für die Verwendung des IPSec-Protokolls:

1. Host-Host;
2. Gateway-Gateway;
3. Host-Gateway.

Die Fähigkeiten der Protokolle AH und ESP überschneiden sich teilweise: Das AH-Protokoll ist nur für die Sicherstellung der Integrität und Authentifizierung von Daten verantwortlich, das ESP-Protokoll kann Daten verschlüsseln und zusätzlich die Funktionen des AH-Protokolls (in verkürzter Form) ausführen. . ESP kann Verschlüsselungs- und Authentifizierungs- / Integritätsfunktionen in beliebiger Kombination unterstützen, dh entweder die gesamte Funktionsgruppe oder nur Authentifizierung / Integrität oder nur Verschlüsselung.

· IKE oder Internet Key Exchange - der Austausch von Schlüsseln des Internets - löst das Hilfsproblem, Endpunkte eines sicheren Kanals automatisch mit den geheimen Schlüsseln zu versorgen, die für den Betrieb der Protokolle der Authentifizierung und Datenverschlüsselung erforderlich sind.

2.3 Transportschicht

Die Transportschicht verwendet SSL / TLS oder Secure Socket Layer / Transport Layer Security, die Verschlüsselung und Authentifizierung zwischen den Transportschichten von Empfänger und Sender implementiert. SSL / TLS kann zum Schutz des TCP-Datenverkehrs verwendet werden, kann nicht zum Schutz des UDP-Datenverkehrs verwendet werden. Damit ein VPN auf Basis von SSL / TLS funktioniert, muss keine spezielle Software implementiert werden, da jeder Browser und E-Mail-Client mit diesen Protokollen ausgestattet ist. Da SSL / TLS auf der Transportschicht implementiert ist, wird eine sichere Verbindung Ende-zu-Ende aufgebaut.

Das TLS-Protokoll basiert auf dem Netscape SSL-Protokoll Version 3.0 und besteht aus zwei Teilen - dem TLS Record Protocol und dem TLS Handshake Protocol. Die Unterschiede zwischen SSL 3.0 und TLS 1.0 sind gering.

SSL / TLS hat drei Hauptphasen:

1. Dialog zwischen den Parteien, dessen Zweck darin besteht, einen Verschlüsselungsalgorithmus auszuwählen;
2. Schlüsselaustausch auf Basis von Public-Key-Kryptosystemen oder zertifikatsbasierter Authentifizierung;
3. Datenübertragung verschlüsselt mit symmetrische Algorithmen Verschlüsselung.

2.4 VPN-Implementierung: IPSec oder SSL / TLS?

Leiter von IT-Abteilungen stehen oft vor der Frage: Welches der Protokolle sollte man für den Aufbau eines Unternehmens-VPN-Netzwerks wählen? Die Antwort liegt nicht auf der Hand, da jeder Ansatz sowohl Vor- als auch Nachteile hat. Wir werden versuchen, durchzuführen und zu identifizieren, wann die Verwendung von IPSec erforderlich ist und wann SSL / TLS. Wie aus der Analyse der Eigenschaften dieser Protokolle hervorgeht, sind sie nicht austauschbar und können sowohl separat als auch parallel funktionieren und die funktionalen Merkmale jedes der implementierten VPNs definieren.

Die Wahl eines Protokolls zum Aufbau eines Firmen-VPN-Netzwerks kann nach folgenden Kriterien erfolgen:

· Die für VPN-Benutzer erforderliche Zugangsart.

1. Vollwertige permanente Verbindung zum Firmennetzwerk. Die empfohlene Wahl ist IPSec.
2. Temporäre Verbindung, z. B. ein mobiler Benutzer oder ein Benutzer, der einen öffentlichen Computer verwendet, um z. B. Zugang zu bestimmten Diensten zu erhalten, Email oder Datenbank. Die empfohlene Wahl ist SSL / TLS, die ein VPN für jeden einzelnen Dienst ermöglicht.

· Ob der Benutzer ein Mitarbeiter des Unternehmens ist.

1. Wenn der Benutzer ein Mitarbeiter des Unternehmens ist, kann das Gerät, mit dem er über IPSec VPN auf das Unternehmensnetzwerk zugreift, auf bestimmte Weise konfiguriert werden.
2. Wenn der Benutzer kein Mitarbeiter des Unternehmens ist, das auf das Unternehmensnetzwerk zugreift, wird empfohlen, SSL / TLS zu verwenden. Dadurch wird der Gastzugriff nur auf bestimmte Dienste eingeschränkt.

· Welche Sicherheitsstufe hat das Unternehmensnetzwerk?

1. Hoch. Die empfohlene Wahl ist IPSec. Tatsächlich ist das von IPSec gebotene Sicherheitsniveau aufgrund der Verwendung konfigurierbarer Software auf Benutzerseite und eines Sicherheitsgateways auf Unternehmensseite viel höher als das Sicherheitsniveau des SSL / TLS-Protokolls.
2. Durchschnitt. Die empfohlene Wahl ist SSL / TLS, die den Zugriff von jedem Terminal aus ermöglicht.

· Das Sicherheitsniveau der vom Benutzer übermittelten Daten.

1. Hoch zum Beispiel Unternehmensführung. Die empfohlene Wahl ist IPSec.
2. Medium, wie ein Partner. Die empfohlene Wahl ist SSL / TLS.

Mittel bis hoch, je nach Service. Die empfohlene Wahl ist eine Kombination aus IPSec (für Dienste, die ein hohes Maß an Sicherheit erfordern) und SSL / TLS (für Dienste, die Durchschnittsniveau Sicherheit).

· Noch wichtiger ist eine schnelle VPN-Bereitstellung oder zukünftige Skalierbarkeit.

1. Schnelle VPN-Bereitstellung mit minimale Kosten... Die empfohlene Wahl ist SSL / TLS. In diesem Fall muss auf Anwenderseite keine spezielle Software wie bei IPSec implementiert werden.
2. VPN-Skalierbarkeit – Hinzufügen des Zugriffs auf verschiedene Dienste. Die empfohlene Wahl ist das IPSec-Protokoll, das den Zugriff auf alle Dienste und Ressourcen des Unternehmensnetzwerks ermöglicht.
3. Schnelle Bereitstellung und Skalierbarkeit. Die empfohlene Wahl ist eine Kombination aus IPSec und SSL / TLS: Verwenden Sie SSL / TLS als ersten Schritt, um auf die benötigten Dienste zuzugreifen, und implementieren Sie dann IPSec.

3. Methoden zur Implementierung von VPN-Netzwerken

Ein VPN basiert auf drei Implementierungsmethoden:

· Tunnelbau;

· Verschlüsselung;

· Authentifizierung.

3.1 Tunnelbau

Tunneling sorgt für den Datentransfer zwischen zwei Punkten - den Enden des Tunnels - so, dass die gesamte dazwischen liegende Netzinfrastruktur für die Quelle und den Datenempfänger verborgen bleibt.

Das Transportmedium des Tunnels holt wie ein Dampf die Pakete des verwendeten Netzwerkprotokolls am Eingang des Tunnels ab und liefert sie unverändert am Ausgang ab. Tunneling reicht aus, um zwei Netzwerkknoten so zu verbinden, dass sie aus Sicht der darauf laufenden Software so aussehen, als wären sie mit demselben (lokalen) Netzwerk verbunden. Wir dürfen jedoch nicht vergessen, dass der "Dampf" mit Daten tatsächlich viele Zwischenknoten (Router) des offenen öffentlichen Netzes passiert.

Dieser Zustand ist mit zwei Problemen behaftet. Der erste ist, dass Informationen, die durch den Tunnel übertragen werden, von Eindringlingen abgefangen werden können. Wenn es vertraulich ist (Bankkartennummern, Jahresabschlüsse, persönliche Informationen), dann ist die Bedrohung seiner Kompromittierung durchaus real, was an sich schon unangenehm ist. Noch schlimmer, haben Angreifer die Möglichkeit, die durch den Tunnel übertragenen Daten so zu ändern, dass der Empfänger ihre Authentizität nicht überprüfen kann. Die Folgen können schlimm sein. Unter Berücksichtigung des oben Gesagten kommen wir zu dem Schluss, dass der Tunnel in seiner reinen Form nur für einige Netztypen geeignet ist Computerspiele und kann nicht behaupten, ernster zu sein. Beide Probleme werden durch moderne Mittel des kryptographischen Informationsschutzes gelöst. Um unbefugte Änderungen des Datenpakets auf dem Weg durch den Tunnel zu verhindern, wird das Verfahren der elektronischen digitalen Signatur () verwendet. Der Kern des Verfahrens besteht darin, dass jedes übertragene Paket mit einem zusätzlichen Informationsblock versorgt wird, der nach einem asymmetrischen kryptographischen Algorithmus erzeugt wird und für den Inhalt des Pakets und den EDS-Geheimschlüssel des Absenders einzigartig ist. Dieser Informationsblock ist das EDS des Pakets und ermöglicht es Ihnen, die Daten durch den Empfänger zu authentifizieren, der es weiß Öffentlicher Schlüssel EDS des Absenders. Der Schutz der durch den Tunnel übertragenen Daten vor unbefugtem Zugriff wird durch die Verwendung starker Verschlüsselungsalgorithmen erreicht.

3.2 Authentifizierung

Sicherheit ist eine Kernfunktion von VPN. Alle Daten von Client-Computern werden über das Internet zum VPN-Server geleitet. Ein solcher Server kann sich in großer Entfernung vom Client-Computer befinden, und die Daten auf dem Weg zum Netzwerk der Organisation durchlaufen die Ausrüstung vieler Anbieter. Wie kann man sicherstellen, dass die Daten nicht gelesen oder geändert wurden? Bewerben Sie sich dafür verschiedene Methoden Authentifizierung und Verschlüsselung.

PPTP kann jedes der PPP-Protokolle verwenden, um Benutzer zu authentifizieren

• EAP oder Extensible Authentication Protocol;
• MSCHAP oder Microsoft Challenge Handshake Authentication Protocol (Versionen 1 und 2);
• CHAP oder Challenge Handshake Authentication Protocol;
• SPAP- oder Shiva-Passwortauthentifizierungsprotokoll;
• PAP oder Kennwortauthentifizierungsprotokoll.

Die besten Protokolle sind MSCHAP Version 2 und Transport Layer Security (EAP-TLS), da sie gegenseitige Authentifizierung bieten, d.h. VPN-Server und Client identifizieren sich gegenseitig. Bei allen anderen Protokollen authentifiziert nur der Server Clients.

Obwohl PPTP ein angemessenes Maß an Sicherheit bietet, ist L2TP über IPSec zuverlässiger. L2TP über IPSec bietet Authentifizierung auf Benutzer- und Computerebene sowie Authentifizierung und Datenverschlüsselung.

Die Authentifizierung erfolgt entweder durch einen offenen Test (Klartext-Passwort) oder durch ein Challenge/Response-Schema. Mit Direkttext ist alles klar. Der Client sendet ein Passwort an den Server. Der Server vergleicht dies mit einem Benchmark und verweigert entweder den Zugriff oder sagt "Willkommen". Offene Authentifizierung ist selten anzutreffen.

Das Anforderungs-/Antwortschema ist viel fortgeschrittener. IN Gesamtansicht es sieht aus wie das:

• der Client sendet eine Anforderung zur Authentifizierung an den Server;
• der Server gibt eine zufällige Antwort (Challenge) zurück;
• der Client entfernt einen Hash aus seinem Passwort (ein Hash ist das Ergebnis einer Hash-Funktion, die ein Eingabedaten-Array beliebiger Länge in eine Ausgabe-Bitfolge fester Länge umwandelt), verschlüsselt die Antwort damit und sendet sie an den Server;
• der Server macht dasselbe und vergleicht das empfangene Ergebnis mit der Antwort des Clients;
• wenn die verschlüsselte Antwort übereinstimmt, ist die Authentifizierung erfolgreich;

Im ersten Schritt der Authentifizierung von VPN-Clients und -Servern verwendet L2TP über IPSec lokale Zertifikate, die von der Zertifizierungsstelle erhalten wurden. Client und Server tauschen Zertifikate aus und erstellen eine sichere ESP SA (Security Association). Nachdem L2TP (über IPSec) den Cabgeschlossen hat, wird die Authentifizierung auf Benutzerebene durchgeführt. Zur Authentifizierung kann jedes Protokoll verwendet werden, sogar PAP, das den Benutzernamen und das Passwort im Klartext überträgt. Dies ist ziemlich sicher, da L2TP über IPSec die gesamte Sitzung verschlüsselt. Die Authentifizierung des Benutzers mit MSCHAP, das verschiedene Verschlüsselungsschlüssel verwendet, um den Computer und den Benutzer zu authentifizieren, kann jedoch die Sicherheit erhöhen.

3.3. Verschlüsselung

Die PPTP-Verschlüsselung stellt sicher, dass niemand auf die Daten zugreifen kann, wenn diese über das Internet gesendet werden. Derzeit werden zwei Verschlüsselungsmethoden unterstützt:

• Das Verschlüsselungsprotokoll MPPE bzw. Microsoft Point-to-Point Encryption ist nur mit MSCHAP kompatibel (Version 1 und 2);
• EAP-TLS und kann die Länge des Verschlüsselungsschlüssels automatisch wählen, wenn Parameter zwischen Client und Server ausgehandelt werden.

MPPE unterstützt 40-, 56- oder 128-Bit-Schlüssel. Ältere Windows-Betriebssysteme unterstützen nur die Verschlüsselung mit 40-Bit-Schlüssellänge. Wählen Sie daher in einer gemischten Windows-Umgebung die minimale Schlüssellänge.

PPTP ändert den Wert des Verschlüsselungsschlüssels nach jedem empfangenen Paket. MMPE wurde für Punkt-zu-Punkt-Verbindungen entwickelt, bei denen Pakete sequentiell übertragen werden und es sehr wenig Datenverlust gibt. In dieser Situation hängt der Schlüsselwert für das nächste Paket von den Entschlüsselungsergebnissen des vorherigen Pakets ab. Beim Aufbau virtueller Netze über öffentliche Netze können diese Bedingungen nicht erfüllt werden, da Datenpakete oft in der falschen Reihenfolge beim Empfänger ankommen, in der sie versendet wurden. Daher verwendet PPTP Paketsequenznummern, um den Verschlüsselungsschlüssel zu ändern. Dadurch kann die Entschlüsselung unabhängig von zuvor empfangenen Paketen durchgeführt werden.

Beide Protokolle sind sowohl in Microsoft Windows als auch außerhalb (zum Beispiel in BSD) implementiert, VPN-Algorithmen können sich erheblich unterscheiden.

So ermöglicht das Bundle "Tunneling + Authentifizierung + Verschlüsselung" die Übertragung von Daten zwischen zwei Punkten über ein öffentliches Netz und simuliert den Betrieb eines privaten (lokalen) Netzes. Mit anderen Worten, mit den betrachteten Tools können Sie ein virtuelles privates Netzwerk aufbauen.

Ein zusätzlicher angenehmer Effekt einer VPN-Verbindung ist die Möglichkeit (und sogar die Notwendigkeit), das im lokalen Netzwerk übernommene Adressierungssystem zu verwenden.

Die Implementierung eines virtuellen privaten Netzwerks in der Praxis ist wie folgt. In lokaler Computernetzwerk im Firmenbüro wird ein VPN-Server installiert. Der Remote-Benutzer (oder Router, wenn zwei Büros verbunden sind) initiiert mit der VPN-Client-Software die Verbindung zum Server. Die Benutzerauthentifizierung findet statt - die erste Phase beim Aufbau einer VPN-Verbindung. Bei der Berechtigungsbestätigung beginnt die zweite Phase – die Details zur Gewährleistung der Verbindungssicherheit werden zwischen Client und Server ausgehandelt. Danach wird eine VPN-Verbindung organisiert, die den Informationsaustausch zwischen dem Client und dem Server in der Form gewährleistet, wenn jedes Paket mit Daten die Verschlüsselungs- / Entschlüsselungs- und Integritätsprüfungsverfahren - Datenauthentifizierung - durchläuft.

Das Hauptproblem bei VPNs ist das Fehlen etablierter Standards für die Authentifizierung und den verschlüsselten Informationsaustausch. Diese Standards befinden sich noch in der Entwicklung, daher können Produkte verschiedener Hersteller keine VPN-Verbindungen aufbauen und automatisch Schlüssel austauschen. Dieses Problem führt zu einer Verlangsamung der Verbreitung von VPN, da es schwierig ist, verschiedene Unternehmen dazu zu zwingen, die Produkte desselben Herstellers zu verwenden, und daher die Zusammenführung der Netzwerke von Partnerunternehmen zu sogenannten Extranet-Netzwerken schwierig ist.

Die Vorteile der VPN-Technologie bestehen darin, dass die Organisation des Fernzugriffs nicht über eine Telefonleitung erfolgt, sondern über das Internet, was viel billiger und besser ist. Der Nachteil der VPN-Technologie besteht darin, dass VPN-Building-Tools keine vollständigen Tools zum Erkennen und Blockieren von Angriffen sind. Sie können eine Reihe von nicht autorisierten Aktionen verhindern, jedoch nicht alle Funktionen, die zum Eindringen in ein Unternehmensnetzwerk verwendet werden können. Aber trotz alledem hat die VPN-Technologie Perspektiven für die Weiterentwicklung.

Was können Sie also in Bezug auf die Entwicklung der VPN-Technologie in der Zukunft erwarten? Zweifellos wird ein einheitlicher Standard für den Bau solcher Netze entwickelt und genehmigt. Grundlage dieses Standards wird höchstwahrscheinlich das bereits bewährte IPSec-Protokoll sein. Als nächstes werden sich die Hersteller darauf konzentrieren, die Leistung ihrer Produkte zu verbessern und benutzerfreundliche Produkte zu entwickeln. VPN-Verwaltung... Höchstwahrscheinlich wird die Entwicklung von VPN-Building-Tools in Richtung VPN auf Basis von Routern gehen, da diese Entscheidung kombiniert relativ hohe Leistung, VPN- und Routing-Integration in einem Gerät. Es werden sich jedoch auch kostengünstige Lösungen für kleine Organisationen entwickeln. Zusammenfassend muss gesagt werden, dass die VPN-Technologie zwar noch sehr jung ist, aber eine große Zukunft vor sich hat.

Hinterlassen Sie Ihren Kommentar!

Lernen wir VPN ein wenig kennen, erfahren Sie die grundlegenden Fragen und verwenden Sie diese drei Buchstaben zu unserem Vorteil.

VPN was ist das?

Sehen Sie, wie die Informationen zwischen meinem Laptop und dem Smartphone daneben fließen, das sogenannte Route Tracing. Und es gibt immer eine Schwachstelle, an der Daten abgefangen werden können.

Wozu dient ein VPN?

Um Netzwerke in Netzwerken zu organisieren und zu schützen. Lassen Sie uns verstehen, dass ein VPN gut ist. Wieso den? Weil Ihre Daten sicherer werden. Wir bauen sicheres Netzwerküber das Internet oder ein anderes Netzwerk. Es ist wie ein gepanzerter Wagen, um Geld die Straße hinunter von einer Bank zu einer anderen Bank zu transportieren. Sie können Geld in einem normalen Auto oder in einem gepanzerten Auto senden. Geld in einem gepanzerten Auto ist auf jeder Straße sicherer. Im übertragenen Sinne ist VPN ein gepanzertes Auto zu Ihrer Information. ABER VPN-Server- Agentur für die Bereitstellung von gepanzerten Fahrzeugen. Kurz gesagt, VPN ist gut.

Datensicherheit:

Verwenden Sie ein virtuelles privates Netzwerk (VPN-Verbindung)
Mit einer VPN-Verbindung können Sie Verschlüsselungstechnologien für Daten effektiv nutzen, während sie durch das Netzwerk übertragen werden, wenn Sie mit einem öffentlichen Wi-Fi-Netzwerk verbunden sind. Dies kann verhindern, dass Cyberkriminelle, die das Netzwerk überwachen, Ihre Daten abfangen.

Immer noch nicht überzeugt? Hier zum Beispiel der Titel einer der Ausschreibungen:

Erbringung von Dienstleistungen für die Bereitstellung von Kommunikationskanälen unter Verwendung der VPN-Technologie zur Organisation des Datentransfers zwischen Abteilungen des Büros des Innenministeriums Russlands in Kazan

Die Polizei macht sich Sorgen um ihre Sicherheit, die Staatsbetriebe und Konzerne sind besorgt und fordern die Präsenz solcher Kanäle, und warum geht es uns noch schlechter? Wir sind noch besser, weil wir keine Haushaltsmittel ausgeben, sondern alles schnell, einfach und kostenlos einrichten.

So lass uns gehen. Wir schützen Konten und Passwörter mit VPN bei der Verwendung von open WLAN-Netzwerke... Dies ist normalerweise das schwächste Glied. Natürlich können sich Geheimdienste auf der ganzen Welt und kriminelle Gruppen Geräte leisten, die den Datenverkehr nicht nur von Wi-Fi-Netzwerken, sondern auch von Satelliten- und Mobilfunknetzen ersetzen und abfangen. Dies ist eine andere Ebene und würde den Rahmen dieses Beitrags sprengen.
Die beste Option wenn Sie einen eigenen VPN-Server haben. Wenn nicht, müssen Sie sich auf die Ehrlichkeit derer verlassen, die Ihnen diese Dienste anbieten. Es gibt also kostenpflichtige Versionen von VPN und kostenlose. Gehen wir die zweite durch. Ja, ein VPN-Server kann auf einem Heimcomputer konfiguriert werden, aber dazu mehr in einem separaten Beitrag.

So richten Sie ein VPN ein

In Betracht ziehen Kostenloses VPN für Android am Beispiel von Opera VPN - Unbegrenztes VPN.

wird heruntergeladen kostenloser Kunde VPN. Die Einstellungen sind minimal und beschränken sich darauf, VPN zu aktivieren und standardmäßig ein Land auszuwählen - ein nahe gelegenes, eine Netzwerktesteinheit. Es gibt auch Einstellungen, um das VPN eingeschaltet zu lassen.

Nach der Installation der Anwendung erscheint das VPN-Element im Android-Einstellungsmenü. Dieser Schalter ruft Hauptbildschirm Opera VPN (wenn Sie nur eine VPN-Verbindungsmethode haben).

Um die VPN-Trennung und -Aktivierung zu steuern, können Sie Anwendungssymbole in den Android-Einstellungen aktivieren.

Einstellungen -> Benachrichtigungen & Statusleiste -> App-Benachrichtigungen -> Opera VPN

Seien Sie darauf vorbereitet, dass einige Anwendungen im VPN-Tunnelmodus Sie auffordern, Ihren Status zu bestätigen. Die VKontakte-Anwendung mit aktiviertem VPN fragt also nach Ihrer Telefonnummer, da sie der Ansicht ist, dass ein Angreifer aus Deutschland oder den Niederlanden versucht, in Ihr Konto einzudringen, das Sie normalerweise von Moskau aus eingeben. Geben Sie die Nummer ein und verwenden Sie sie weiter.

So verwenden Sie ein VPN auf Ihrem Android-Gerät am einfachsten. Sie können auch ein virtuelles privates Netzwerk basierend auf Ihrem Router einrichten und eine Verbindung zu Ihrem . herstellen Heimcomputer von überall auf der Welt über einen sicheren Kanal zum freien Austausch privater Daten. Aber dazu mehr schwieriger Weg, sowie über die Einstellungen kostenpflichtige Apps und Dienstleistungen werde ich in anderen Beiträgen erzählen.

(8 Schätzungen, Durchschnitt: 4,75 von 5)
Anton Tretyak Anton Tretyak [E-Mail geschützt] Administrator Website - Bewertungen, Anweisungen, Life-Hacks

Die Organisation von Kanälen zwischen entfernten Netzwerken über eine VPN-Verbindung ist eines der beliebtesten Themen auf unserer Website. Gleichzeitig werden, wie die Leserreaktion zeigt, die größten Schwierigkeiten durch richtige Einstellung Routing, obwohl wir speziell auf diesen Punkt geachtet haben. Nachdem wir die häufigsten Fragen analysiert haben, haben wir uns entschieden, dem Thema Routing einen eigenen Artikel zu widmen. Habe Fragen? Wir hoffen, dass es nach dem Lesen dieses Materials weniger davon geben wird.

Lassen Sie uns zunächst herausfinden, was ist Routing... Routing ist der Prozess der Bestimmung des Informationsweges in Kommunikationsnetzen. Seien wir ehrlich, dieses Thema ist sehr tiefgründig und erfordert ein solides Gepäck an theoretischem Wissen, daher werden wir im Rahmen dieses Artikels das Bild bewusst vereinfachen und die Theorie genau so berühren, dass es ausreicht, um das Fortlaufende zu verstehen Prozesse und erhalten praxisnahe Ergebnisse.

Nehmen wir eine beliebige Workstation, die mit dem Netzwerk verbunden ist. Wie bestimmt sie, wohin dieses oder jenes Paket gesendet werden soll? Dafür ist es gedacht Routing-Tabelle, die eine Liste von Regeln für alle möglichen Zieladressen enthält. Basierend auf dieser Tabelle entscheidet der Host (oder Router) über welche Schnittstelle und Zieladresse ein an einen bestimmten Empfänger adressiertes Paket gesendet wird.

Route drucken

Als Ergebnis sehen wir die folgende Tabelle:

Alles ist ganz einfach, wir interessieren uns für den Abschnitt IPv4-Routentabelle, enthalten die ersten beiden Spalten die Zieladresse und die Netzmaske, gefolgt vom Gateway - dem Knoten, an den die Pakete für das angegebene Ziel weitergeleitet werden sollen, der Schnittstelle und der Metrik. Wenn die Spalte Tor angegeben On-Link, bedeutet dies, dass sich die Zieladresse im selben Netzwerk wie der Host befindet und ohne Routing erreichbar ist. Messwerte legt die Priorität von Routing-Regeln fest, wenn die Zieladresse mehrere Regeln in der Routing-Tabelle hat, wird die mit der niedrigeren Metrik verwendet.

Unsere Workstation gehört zum Netzwerk 192.168.31.0 und schickt laut Routentabelle alle Anfragen an dieses Netzwerk an die Schnittstelle 192.168.31.175, die der Netzwerkadresse dieser Station entspricht. Befindet sich die Zieladresse im selben Netzwerk wie die Quelladresse, erfolgt die Informationslieferung ohne IP-Routing (Netzwerkschicht L3 des OSI-Modells) auf der Verbindungsschicht (L2). Andernfalls wird das Paket an den in der entsprechenden Leitwegtabellenregel angegebenen Knoten im Zielnetz gesendet.

Wenn es keine solche Regel gibt, wird das Paket gesendet von Nullroute, die die Adresse des Standard-Gateways des Netzwerks enthält. In unserem Fall ist dies die Adresse des Routers 192.168.31.100. Diese Route wird null genannt, weil die Zieladresse dafür 0.0.0.0 ist. Dieser Punkt ist für das weitere Verständnis des Routing-Prozesses sehr wichtig: alle Pakete, gehört nicht zu diesem Netzwerk und haben keine separaten Routen, immer sind gesendet Hauptportal Netzwerke.

Was wird der Router tun, wenn er ein solches Paket empfängt? Lassen Sie uns zunächst herausfinden, wie sich ein Router von einer normalen Netzwerkstation unterscheidet. Extrem vereinfacht ist ein Router (Router) ein Netzwerkgerät, das konfiguriert ist, um Pakete zwischen Netzwerkschnittstellen zu übertragen. Unter Windows wird dies durch die Aktivierung des Dienstes erreicht Routing und Fernzugriff , unter Linux durch Setzen der Option ip_forward.

Die Entscheidung, Pakete zu übertragen, wird auch in diesem Fall anhand der Routing-Tabelle getroffen. Mal sehen was enthält dieser Tisch auf dem gängigsten Router, zum Beispiel dem, den wir im Artikel beschrieben haben:. Auf Linux-Systemen können Sie die Routentabelle mit dem Befehl abrufen:

Route -n

Wie Sie sehen, enthält unser Router Routen zu den bekannten Netzwerken 192.168.31.0 und 192.168.3.0, sowie eine Nullroute zum Upstream-Gateway 192.168.3.1.

Die Adresse 0.0.0.0 in der Spalte Gateway zeigt an, dass die Zieladresse ohne Routing verfügbar ist. Somit werden alle Pakete mit Zieladressen in den Netzen 192.168.31.0 und 192.168.3.0 an die entsprechende Schnittstelle gesendet und alle anderen Pakete werden entlang der Nullroute weitergeleitet.

Der nächste wichtige Punkt sind die Adressen von privaten (privaten) Netzwerken, sie sind ebenfalls "grau", sie umfassen drei Bereiche:

• 10.0.0.0/8
• 172.16.0.0/12
• 192.168.0.0/16

Diese Adressen können von jedem frei verwendet werden und sind daher nicht geroutet... Was bedeutet das? Jedes Paket mit einer Zieladresse, das zu einem dieser Netzwerke gehört, wird vom Router verworfen, wenn es keinen separaten Eintrag in der Routing-Tabelle dafür gibt. Einfach ausgedrückt, wird die Standardroute (null) für solche Pakete nicht vom Router angewendet. Es sollte auch verstanden werden, dass diese Regel nur für das Routing gilt, d.h. Beim Übertragen von Paketen zwischen Schnittstellen wird ein ausgehendes Paket mit einer "grauen" Adresse über die Nullroute gesendet, auch wenn dieser Knoten selbst ein Router ist.

Zum Beispiel, wenn unser Router empfängt eingehendes Paket mit der Zuweisung, sagen wir 10.8.0.1, dann wird es verworfen, da ihm ein solches Netz unbekannt ist und Adressen dieses Bereichs nicht geroutet werden. Greifen wir jedoch direkt vom Router auf denselben Knoten zu, wird das Paket über die Nullroute zum Gateway 192.168.3.1 gesendet und von diesem verworfen.

Es ist Zeit zu überprüfen, wie alles funktioniert. Versuchen wir von unserem Host 192.168.31.175 aus den Host 192.168.3.106 zu pingen, der sich im Netzwerk hinter dem Router befindet. Wie Sie sehen, ist uns dies gelungen, obwohl die Host-Routing-Tabelle keine Informationen zum 192.168.3.0-Netzwerk enthält.

Wie wurde dies möglich? Da der Quellknoten nichts über das Zielnetzwerk weiß, sendet er ein Paket an die Gateway-Adresse. Das Gateway überprüft seine Routentabelle, findet dort einen Eintrag für das 192.168.3.0-Netzwerk und sendet das Paket an die entsprechende Schnittstelle. Sie können dies leicht überprüfen, indem Sie den Trace-Befehl ausführen, der den gesamten Pfad unseres Pakets anzeigt:

Tracert 192.168.3.106

Versuchen wir nun, Host 192.168.31.175 von Host 192.168.3.106 zu pingen, d.h. In die andere Richtung. Bei uns hat es nicht geklappt. Wieso den?

Schauen wir uns die Routing-Tabelle einmal genauer an. Es enthält keine Einträge für das 192.168.31.0-Netzwerk, daher wird das Paket an den 192.168.3.1-Router als Haupt-Gateway des Netzwerks gesendet, der dieses Paket verwirft, da es keine Informationen über das Zielnetzwerk enthält . Wie sein? Natürlich sollten Sie das Paket an den Knoten senden, der die erforderlichen Informationen enthält und das Paket an sein Ziel senden kann, in unserem Fall ist es der Router 192.168.31.100, der in diesem Netzwerk die Adresse 192.168.3.108 hat.

Damit Pakete für das 192.168.31.0-Netzwerk an ihn gesendet werden können, müssen wir eine separate Route erstellen.

192.168.31.0 Maske 255.255.255.0 192.168.3.108

Zukünftig werden wir uns an eine solche Streckenaufzeichnung halten, was bedeutet das? Ganz einfach, Pakete für das Netzwerk 192.168.31.0 mit der Maske 255.255.255.0 sollten an den Host 192.168.3.108 gesendet werden. Unter Windows kann eine Route mit dem Befehl hinzugefügt werden:

Route hinzufügen 192.168.31.0 Maske 255.255.255.0 192.168.3.108

Route hinzufügen -net 192.168.31.0 Netzmaske 255.255.255.0 gw 192.168.3.108

Lass es uns versuchen.

Analysieren wir das Ergebnis, in der Routing-Tabelle ist eine Route aufgetaucht und alle Pakete zum 192.168.31.0-Netzwerk werden nun an den Router dieses Netzwerks gesendet, was an der Antwort des Ping-Befehls zu sehen ist, aber sie erreichen den Ziel. Was ist los? Es ist an der Zeit, sich daran zu erinnern, dass eine der Hauptaufgaben eines Routers nicht nur das Routing ist, sondern auch die Funktion einer Firewall, die den Zugriff aus dem externen Netzwerk im Inneren eindeutig verhindert. Wenn wir diese Regel vorübergehend durch eine freizügige ersetzen, funktioniert alles.

Die durch die obigen Befehle hinzugefügten Routen werden gespeichert, bis der Knoten neu gestartet wird. Dies ist praktisch, selbst wenn Sie viel durcheinander bringen, müssen Sie nur neu starten, um die Änderungen rückgängig zu machen. Führen Sie den folgenden Befehl aus, um eine persistente Route in Windows hinzuzufügen:

Route hinzufügen 192.168.31.0 Maske 255.255.255.0 192.168.3.108 -p

Unter Linux in / etc / Netzwerk / Schnittstellen, nachdem Sie die Schnittstelle beschrieben haben, fügen Sie Folgendes hinzu:

Post-up-Route hinzufügen -net 192.168.31.0 Netzmaske 255.255.255.0 gw 192.168.3.108

Dies ist übrigens nicht die einzige Möglichkeit, den Zugriff vom 192.168.3.0-Netzwerk auf das 192.168.31.0-Netzwerk zu konfigurieren, statt eine Route für jeden Knoten hinzuzufügen, können Sie dem Router "beibringen", Pakete richtig zu senden.

In diesem Fall hat der Quellknoten keine Aufzeichnungen über das Zielnetzwerk und sendet das Paket an das Gateway, als das Gateway das letzte Mal ein solches Paket verworfen hat, aber jetzt haben wir die erforderliche Route zu seiner Routingtabelle hinzugefügt und es wird gesendet will das Paket an den Knoten 192.168.3.108, der es an sein Ziel weiterleitet.

Wir empfehlen Ihnen dringend, selbst an ähnlichen Beispielen zu üben, damit das Routing für Sie keine Blackbox mehr ist und Routen keine chinesische Alphabetisierung mehr sind. Sobald Sie es verstanden haben, können Sie mit dem zweiten Teil dieses Artikels fortfahren.

Sehen wir uns nun reale Beispiele für die Verbindung von Büronetzwerken über eine VPN-Verbindung an. Obwohl OpenVPN am häufigsten für diese Zwecke verwendet wird und wir in unseren Beispielen auch darauf basierende Lösungen meinen, gilt alles oben Genannte für jede Art von VPN-Verbindung.

Der einfachste Fall ist, wenn sich der VPN-Server (Client) und der Netzwerkrouter auf demselben Host befinden. Betrachten Sie das folgende Diagramm:

Da Sie hoffentlich die Theorie erlernt und in der Praxis gefestigt haben, analysieren wir den Weg von Paketen vom Büronetz 192.168.31.0 zum Filialnetz 192.168.44.0, ein solches Paket wird an das Standard-Gateway gesendet, das ist auch ein VPN-Server. Dieser Knoten weiß jedoch nichts über das Zielnetzwerk und muss dieses Paket verwerfen. Gleichzeitig können wir den Filialrouter bereits unter seiner Adresse im VPN 10.8.0.2 erreichen, da dieses Netzwerküber den Office-Router erreichbar.

Um auf das Zweigstellennetzwerk zuzugreifen, müssen wir Pakete für dieses Netzwerk an einen Knoten weiterleiten, der Teil dieses Netzwerks ist oder eine Route dorthin hat. In unserem Fall ist dies der Filialrouter. Daher fügen wir eine Route auf dem Bürorouter hinzu:

Nachdem das Gateway des Büros das Paket für das Zweigstellennetzwerk empfangen hat, sendet es es über den VPN-Kanal an den Zweigstellenrouter, der als Host des 192.168.44.0-Netzwerks das Paket an sein Ziel liefert. Um vom Filialnetz auf das Büronetzwerk zuzugreifen, müssen Sie eine ähnliche Route auf dem Filialrouter registrieren.

Nehmen wir ein komplizierteres Diagramm, wenn der Router und der VPN-Server (Client) unterschiedliche Knoten im Netzwerk sind. Hier gibt es zwei Möglichkeiten: das gewünschte Paket direkt an den VPN-Server (Client) senden oder das Gateway dazu zwingen.

Schauen wir uns zuerst die erste Option an.

Damit die Pakete für das Filialnetzwerk in das VPN-Netzwerk gelangen, müssen wir für jeden Client des Netzwerks eine Route zum VPN-Server (Client) hinzufügen, ansonsten werden sie an das Gateway gesendet, das sie verwirft:

Der VPN-Server weiß jedoch nichts über das Filialnetz, kann aber Pakete innerhalb des VPN-Netzwerks senden, wo es einen für uns interessanten Zweig des Filialnetzes gibt, also senden wir das Paket dorthin, indem wir eine Route hinzufügen der VPN-Server (Client):

192.168.44.0 Maske 255.255.255.0 10.8.0.2

Der Nachteil dieses Schemas ist die Notwendigkeit, Routen an jedem Netzknoten zu registrieren, was nicht immer bequem ist. Es kann verwendet werden, wenn nur wenige Geräte im Netzwerk vorhanden sind oder ein selektiver Zugriff erforderlich ist. In anderen Fällen wäre es richtiger, die Routing-Aufgabe an den Hauptrouter des Netzwerks zu übertragen.

In diesem Fall wissen die Netzwerkgeräte des Büros nichts über das Filialnetz und senden dafür Pakete auf der Nullroute, dem Netzwerk-Gateway. Die Aufgabe des Gateways besteht nun darin, dieses Paket an den VPN-Server (Client) umzuleiten. Dies ist einfach, indem Sie die erforderliche Route zu seiner Routing-Tabelle hinzufügen:

192.168.44.0 Maske 255.255.255.0 192.168.31.101

Wir haben oben die Aufgabe des VPN-Servers (Client) erwähnt, er muss Pakete an den VPN-Netzknoten liefern, der Teil des Zielnetzes ist oder eine Route zu diesem hat.

192.168.44.0 Maske 255.255.255.0 10.8.0.2

Um vom Filialnetz auf das Büronetz zuzugreifen, müssen Sie die entsprechenden Routen zu den Netzknoten der Filiale hinzufügen. Dies kann auf jede bequeme Weise erfolgen, nicht unbedingt auf die gleiche Weise wie im Büro. Ein einfaches Beispiel aus der Praxis: Alle Computer in der Filiale müssen Zugang zum Büronetzwerk haben, aber nicht alle Computer im Büro müssen Zugang zur Filiale haben. In diesem Fall fügen wir in der Filiale eine Route zum VPN-Server (Client) auf dem Router hinzu und im Büro fügen wir sie nur den erforderlichen Computern hinzu.

Im Allgemeinen, wenn Sie eine Vorstellung davon haben, wie Routing funktioniert und wie die Entscheidung zur Umleitung von Paketen getroffen wird, und auch wissen, wie die Routing-Tabelle gelesen wird, dann sollte die Konfiguration der richtigen Routen unkompliziert sein. Wir hoffen, dass Sie diese nach dem Lesen dieses Artikels auch nicht mehr haben werden.

• Stichworte:

Bitte aktivieren Sie JavaScript, um die anzuzeigen